沿って, smartwatches 28/09/2022

医療・警察関係でFAXがなくならないのには理由がある FAX全廃がもたらすセキュリティ欠陥

河野太郎行政・規制改革担当相が、6月末までに省庁などでFAXの使用廃止の方針を示したのは、6月15日の会見でのことだった。

ところが先日、1カ月も経たずして、政府はその撤廃方針を断念したことが明らかになった。北海道新聞の報道によれば、「河野氏はファクスをテレワークを阻害する要因の一つとみて6月末で原則利用をやめ、電子メールに切り替えるよう求めていた」が、「内閣官房行政改革推進本部事務局によると、各省庁から400件程度の反論が寄せられた」という。そして断念することになった。

要するに、FAX廃止について各方面の事情を十分に調査・分析しておらず、「見切り発車」だったということだろう。

各省庁から出た苦情には、例えば警察などから「機密性の高い情報」を扱うためにFAXは不可欠だという声もあったという。実は、日本では、いくら大臣が廃止を大声で叫んでも、仕事によってはFAXを止めることが難しい業種も存在する。セキュリティの観点などからも、FAXを廃止するのは望ましくない分野もある。

その際たる例は、医療現場や警察関係だ。もちろん管轄の省庁などのやりとりも行われている。そこで医療や警察の現場の声から、なぜFAXが不可欠なのかを見ていきたい。

まず医療関係。都内のある医師によれば、病院などでは、FAXは日常的に使われていて廃止することは考えられないという。業務で使うパソコンやデバイスは、基本的にインターネットなどにはつながらないようにシステムが作られており、「セキュリティの問題で、個人情報などが漏洩するリスクがあるためです」と語る。そのため書類などを電子メールで送信することは考えられず、FAXで送るのが当たり前となっている。

新型コロナの検査結果や、そのほかの患者の検査情報なども、医療機関同士が「受け取った、受け取っていない」というような問題が起きないようFAXで送って記録として残す意味合いもある。そうした情報は患者の命にも関わり、一刻を争うこともあるため、電子メールが届いたかどうかといった確認をしている余裕は現場にはないという。「迷惑メール」に入っていて確認できなかった、なんてことは許されない。

■ FAX全廃が医療崩壊に?

毎日、この瞬間も目まぐるしく患者の治療が行われている医療現場では、これまで当たり前になっている仕組みを廃止して、直ちにメールなどに移行することになれば、それこそこのコロナ禍に「医療崩壊」が起きる可能性もある。そんなリスクは負えないため、機能しているFAXを継続するのは合理的な選択だろう。

とはいえ、読者の皆さんも病院ではiPadやデジタルデバイスなどが使われているのを見たことがあるかもしれない。ただそうした機器も、基本的にインターネットにはつながっていない。「医療現場はかなりデジタル化が進んでいますが、内部だけでネットワーク化されたイントラネットを使っています。大学病院などで最近、カルテを近隣のクリニックなどとコンピューターで共有しようという話も浮上していますが、セキュリティの問題もあってまだ実現するのには課題も多い」

実は、患者の情報などはかなりデジタル化されている。FAXで送られてきた情報を、送る側も、受け取った側も、パソコンに打ち込んでいるのだ。ただこの面倒なひと手間が実はサイバー攻撃対策には効果的だったりする。

近年、世界的にランサムウェア(身代金要求型ウィルス)による攻撃が増えている。攻撃者は企業などのコンピューターにマルウェアを感染させると、システムを勝手に暗号化して使えなくしてしまう。そしてメッセージが表示され、「暗号を解いて欲しければビットコインを払え」となる。

2017年5月、イギリスの国営医療システムのNHS(国民医療サービス)の病院など80医療機関がランサムウェアに感染して、患者のカルテが見られなくなって手術ができなくなるといった事態になった。ドイツやアメリカでも医療機関へのサイバー攻撃が起きている。これらの攻撃は、基本的に、インターネットや電子メールなどで外部とつながっていたから発生している。

医療データを扱うネットワークが外部とつながることは漏洩のリスクとなる。ならば、FAXで別でやりとりする方が基本的には安全だという考え方もあるだろう。

■ FAXを手放せない警察

医療・警察関係でFAXがなくならないのには理由がある FAX全廃がもたらすセキュリティ欠陥

警察はどうか。警察では、事件の裁判手続きの書類や捜査情報など絶対に表に出てはいけない機微情報などを扱っている。関東地区の警察関係者によれば、警察では「そもそも外部と電子メールでやりとりができないようになっている」という。どういうことかと言うと、警察内部では送受信できるメールシステムがあるが、外部と電子メールを送ったり、受けとったりできない。その理由は、扱うデータが漏れるようなことがあっては困るからに他ならない。そこで、より安全な策としてFAXが使われる。

この「対策」も正しいと言えよう。情報を盗んだり、妨害工作を行うサイバー攻撃では、その攻撃の端緒は90%以上が電子メールによるサイバー攻撃である。メールに添付されたファイルにマルウェア(悪意のある不正なプログラム)を埋め込んであり、受け取った側が実行すると感染してしまうものや、メールに記されたリンクにクリックするとマルウェアに感染するなど、さまざまな攻撃を受ける。

警察ではそういう被害に遭わないように外部とはメールなどで接触できなくしているのだ。考え方としては、外部ネットワークとつなげていない医療関係機関と同じである。

そして、医療や警察の現場も中央省庁とは直接的にも間接的にもつながりがあるため、省庁も自ずとFAXを使うことになる。さらに言えば、銀行関係でもFAXが使われている場合が少なくないために、その関連の省庁もいきなり廃止では仕事が成り立たない。

だからこそ、中央省庁で河野大臣のFAX廃止方針に400件もの苦情が届いたのである。医療や警察関係以外にも同じような状況を抱えた分野はあるだろう。

FAXをいまだに使っているというと、前近代的なようにも思えるが、実はそうではない。海外でもいまだに、アメリカ、イギリス、フランス、ドイツなどでFAXは使われており、世界中で今も約4300万台が現役で使われていると言われる。

ここまで見てきた通り、情報漏洩などを防ぐサイバーセキュリティの観点からも、FAXを使うことはある意味では有効な対策だと言える。

■ USB厳禁にせよ

内部のシステムがインターネットにつながっていれば、普通に考えても、それだけで外部からのサイバー攻撃を受けるリスクが高まる。逆に、物理的にインターネットのケーブルを抜いてしまえば、サイバー攻撃には遭いにくい。これは、世界のサイバーセキュリティ分野では「エア・ギャップ」(インターネットと内部システムの間に「空間」ができていることを指す)と呼ばれている。

もちろん、このエア・ギャップも、能力の高いハッカーたちや国家的なサイバー部隊などが、巧妙な工作で超えてくることがある。2009年にイランのナタンズ核燃料施設で、内部システムは外部とつながっていないエア・ギャップがあったにもかかわらず、サイバー攻撃を受けて工場が破壊されたことがあった。

ただこれは、世界でも有数の人材と莫大な予算を持つ政府系のハッカー集団(このケースではアメリカとイスラエル)による攻撃だった。しかもサイバー攻撃と、人を使ったスパイ工作(ヒューミントと呼ばれる。このケースではオランダがアメリカとイスラエルに協力)の合わせ技で、スパイ協力者がマルウェアの仕込まれたUSBドライブを内部システムに差し込んだために、インターネットにつながっていないシステムにマルウェアを感染させることができた。

こういう例はあるものの、基本的にはエア・ギャップを作り、USBなどの使用を禁止にすればかなりの対策にはなる。その代わりにFAXを使うのは一案だろう。前出の医師によれば、「私の病院では、外部につながっていない内部ネットワークのパソコンにUSBを差し込むことは厳重に禁止されていました。患者の情報を漏洩させないためですが、システム責任者から『USBを差し込んだらシステムは動かなくなってしまうのでくれぐれも注意するように』ときつく言われていました」と笑う。

言うまでもないが、FAXは送信にも通信量がかかるし、紙もコストになる。枚数が増えればかさばるし、受け取ったFAXを、1枚排出するのも時間がかかる。それでも、日本で引き続きFAXが利用されているのにはそれなりの理由があるのだ。もちろん電子メールにするほうが紙もなくかさばらないが、セキュリティソフトなどで対策が必要になることを考えれば、コストはFAXよりも割高かもしれない。

とにかく、少なくとも大臣からトップダウンで一斉に「廃止」しようというようなものではないことだけは確かである。